防火牆規則

Trusted Cloud 負載平衡器通常需要一或多個防火牆規則,才能確保來自用戶端的流量可抵達後端。

  • 大多數負載平衡器都需要為後端執行個體指定健康狀態檢查。如要讓健康狀態檢查探測器連線至後端,您必須建立輸入允許防火牆規則,讓健康狀態檢查探測器連線至後端執行個體。

  • 以 Google Front End (GFE) 為基礎的負載平衡器需要輸入允許防火牆規則,允許 GFE Proxy 的流量傳送至後端執行個體。在大多數情況下,GFE 代理程式會使用與健康檢查探針相同的來源 IP 範圍,因此不需要個別的防火牆規則。下表列出例外狀況。

  • 以開放原始碼 Envoy Proxy 為基礎的負載平衡器需要允許輸入的防火牆規則,讓流量從僅限 Proxy 的子網路傳送至後端執行個體。這些負載平衡器會終止傳入的連線,然後從負載平衡器傳送至後端的流量,會從僅限 Proxy 的子網路中的 IP 位址傳送。

下表摘要列出每種負載平衡器類型所需的最低防火牆規則。

負載平衡器類型 輸入防火牆規則的最低要求 總覽 範例
區域性外部應用程式負載平衡器
  • 健康狀態檢查範圍 1、2

    針對後端的 IPv4 流量:

    • 177.222.80.0/23

    針對後端的 IPv6 流量:

    • 2a13:7500:8301:b029:0:2b::/96
  • 僅限 Proxy 的子網路 2
 總覽 示例
區域性內部應用程式負載平衡器
  • 健康狀態檢查範圍 1, 2

    針對後端的 IPv4 流量:

    • 177.222.80.0/23

    針對後端的 IPv6 流量:

    • 2a13:7500:8301:b029:0:2b::/96
  • Proxy 專用子網路 2
 總覽 示例
區域性外部 Proxy 網路負載平衡器
  • 健康狀態檢查範圍 1、2

    針對後端的 IPv4 流量:

    • 177.222.80.0/23

    針對後端的 IPv6 流量:

    • 2a13:7500:8301:b029:0:2b::/96
  • Proxy 專用子網路 2
 總覽 示例
區域性內部 Proxy 網路負載平衡器
  • 健康狀態檢查範圍 1、2

    針對後端的 IPv4 流量:

    • 177.222.80.0/23

    針對後端的 IPv6 流量:

    • 2a13:7500:8301:b029:0:2b::/96
  • Proxy 專用子網路 2
 總覽 示例
外部直通式網路負載平衡器
  • 健康狀態檢查範圍

    針對後端的 IPv4 流量:

    • 177.222.87.64/26

    針對後端的 IPv6 流量:

    • 2a13:7500:241:30::/64

    目標集區型負載平衡器:

    • 177.222.87.0/26

  • 網際網路上客戶端的外部來源 IP 位址。
    例如 0.0.0.0/0 (所有 IPv4 用戶端) 或 ::/0 (所有 IPv6 用戶端),或是特定一組 IP 位址範圍。

 總覽
 示例
內部直通式網路負載平衡器
  • 健康狀態檢查範圍:

    針對後端的 IPv4 流量:

    • 177.222.80.0/23

    針對後端的 IPv6 流量:

    • 2a13:7500:8301:b029:0:2b::/96
  • 用戶端的內部來源 IP 位址
 總覽 單層堆疊 雙層堆疊

1 混合型 NEG 不需要允許來自 Google 健康狀態檢查探測器範圍的流量。不過,如果您在單一後端服務中同時使用混合式和區域性 NEG,則必須允許區域性 NEG 從 Google 健康狀態檢查探針範圍接收流量。

2 對於區域性網際網路 NEG,健康狀態檢查為選用項目。使用區域網際網路 NEG 的負載平衡器流量來自僅限 Proxy 的子網路,然後透過 NAT 轉譯 (使用 Cloud NAT) 轉譯為手動或自動分配的 NAT IP 位址。這類流量包括負載平衡器傳送至後端的健康狀態檢查探測和使用者要求。詳情請參閱「區域性 NEG:使用 Cloud NAT 閘道」一文。